lunes, 29 de marzo de 2010

INSTITUTO TECNOLÓGICO DEL CIBAO ORIENTAL
ITECO




TEMA:
ANALISIS DEL LIBRO
Auditoría en sistemas Computacionales
de
CARLOS MUÑOZ RAZO

Profesor: Etanislao De la Cruz

Sustetado por:

Marlyn Babidania Ortega 2002-341
Wilson Vásquez 2003-240
Diomedes Benitez Rondón 2003-410
Yuderka Alt. Reyes Pérez 2004-174
Frank Isidro Galan Araujo 2004-179
Arlin del Carmen Jiménez Ullola 2004-440



INTRODUCCION

El siguiente Blogs Presenta los elementos básicos para el aprendizaje y la aplicación de la auditoría de sistemas computacionales. Su amplio y generoso tratamiento de las normas ético-morales que regulan la actuación del auditor en las empresas así como su conducta, lo hace más interesante. Una parte sustantiva de este Blogs es la presentación del control interno en las empresas y su correspondiente control informático interno, ya que es en ambos donde se justifica la práctica de esta auditoría. Además presenta las técnicas aplicables a la auditoria utilizada por el auditor: El mismo esta compuesto por los siguientes temas:


1. Conceptos Generales
2. Elementos fundamentales en el estudio de la auditoría
3. Normas ético-morales que regulan la actuación del auditor
4. Control interno
5. Control interno informático
6. Metodología Para Realizar Auditorías De Sistemas Computacionales
7. Papeles de trabajo para la auditoría de sistemas computaciones
8. Informes de auditoría de sistemas computacionales
9. Instrumentos de recopilación de información aplicables en una auditoría de sistemas computacionales.
10. Ténicas de evaluación aplicables en una auditoría de sistemas computacionales
11. Técnicas especiales de auditoría de sistemas computacionales
12. Propuesta de puntos que se deben evaluar en una auditoría de sistemas computacionales.

CAPITULO 1: CONCEPTOS GENERALES

Auditor
Persona capacitada para realizar auditorias en una empresa u otras instituciones.Es la persona que se encarga de revisar los registros, procedimientos y transacciones financieras de una organización hechas por especialistas.
Auditoria
Supervisión de las cuentas de una empresa, hecha por decisión de un tribunal o instancia en particular.La auditoría esta integrada por cuatro (4) grandes bloques dentro de los cuales existen 26 divisiones de cada área las cuales explican claramente los conceptos dando la explicación a quienes se les debe aplicar, con que fin, ventajas, desventajas y quien esta en capacidad de realizarla. Dentro de la auditoría de sistemas computacionales podemos enfatizar en:
Auditoría Informática
Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa.Auditoría con la computadoraEs la auditoría que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero sí susceptibles de ser automatizadas.Auditoría sin la computadora
Es la auditoria cuyos métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y validez de las transacciones económicas, administrativas y operacionales de un área de cómputo.Auditoría a la gestión informáticaEs la auditoría cuya aplicación se enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cómputo.Auditoría al sistema de cómputoEs la revisión técnica y especializada que se enfoca únicamente a la evaluación del funcionamiento y uso correcto del equipo de cómputo, su hardware, software y periféricos asociados.
Auditoría alrededor de la computadora
Es la revisión especifica que se realiza a todo lo que esta alrededor de un equipo de cómputo, como son sus sistemas, actividades y funcionamientos, haciendo una evaluación de sus métodos y procedimientos.Auditoría de la seguridad de los sistemas computacionalesEsta se realiza a todo los relacionado con la seguridad de un sistema de cómputo, sus áreas y personal.
Auditoría a los sistemas de redes
Esta se realiza a los sistemas de redes de una empresa.Auditoría integral a los centros de cómputosEs la que se realiza por medio de un equipo multidisciplinario de auditores de todas las actividades y operaciones de un centro de sistematización.Y otras más como Auditoría ISI-9000 a los sistemas computacionales, Auditoría Outsourcing y Auditoría ergonómica de sistemas computacionales

CAPITULO 2: ELEMENTOS DE LA AUDITORIA

Definición general de auditoría
Auditoría es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, así como dictaminar sobre el resultado de dicha evaluación.
Del análisis de esta definición obtenemos los siguientes conceptos:
La auditoria es la revisión independiente-
Un requisito indispensable para llevar a cabo una auditoría, es que el auditor debe poseer una absoluta independencia mental, profesional y laboral, ya que esta soberanía de acción le permite actuar como un verdadero profesional al realizar cualquier tipo de evaluación. Es evidente que este libre albedrío le evitará tener cualquier tipo de obligación, preferencia, obediencia o algún otro compromiso con la empresa a la que audita.
Objetivos particulares de cada tipo de auditoría
Objetivos de la auditoría externa
La auditoría externa es aquella que se realiza con personal totalmente ajeno a la empresa auditada, con libertad absoluta de actuación y libre de cualquier injerencia por parte de la institución donde se practica; por lo tanto, sus objetivos son los siguientes:
• Realizar una evaluación, de manera independiente, a una institución con la cual no se tenga,) ni empleo ni subordinación, con el fin emitir un dictamen externo sobre la razonabilidad de sus actividades, operaciones y resultados.
• Hacer una revisión independiente sobre el aspecto contable y las finanzas de las áreas de una empresa, emitiendo un dictamen autónomo.

Objetivos de la auditoría interna
Debido a que esta auditoría se lleva a cabo con personal que labora en la empresa y que depende estructuralmente de algún directivo de la misma, es de suma importancia que se establezcan y respeten los objetivos.
• Realizar una evaluación independiente dentro de la institución donde se trabaja, contando con un mayor entendimiento de sus actividades y operaciones, con el fin de ayudar a evaluar la actuación de la gestión administrativa.
• Dictaminar en forma interna sobre las actividades, operaciones y funciones que se realizan en uno empresa, contando con un mayor conocimiento cíe las actividades del personal que labora en ella, así como de sus funciones y tareas.
Objetivos de la auditoría integral
La participación de grupos multidisciplinarios que serán capaces de hacer una evaluación total de todas las áreas de una empresa, con mayor profundidad y más completa, serán los aspectos fundamentales de esta auditoria, cuyos objetivos son los siguientes:
• Realizar una evaluación global, multidisciplinaria e independiente sobre las actividades, operaciones, estructura organizacional y funciones de todas y cada una de las áreas y unidades de trabajo de una institución, con el fin de emitir un dictamen global sobre la razonabilidad de sus funciones y Operaciones.
• Evaluar el cumplimento de los planes, programas, políticas, normas y lineamientos que regulan las áreas y unidades de trabajo de una empresa, así como de la correlación e integración de sus funciones y actividades.
• Dictaminar, en forma integral y multidisciplinario, sobre los resultados e interrelación de las actividades de cada una de las áreas y unidades administrativas de una empresa, utilizando siempre las mismas herramientas de evaluación para hacer una valoración sistemática y emitir un dictame veraz.
• Aprovechar los recursos de las múltiples disciplinas de la auditoria, para hacer evaluaciones conjuntas de las operaciones y actividades de todas las unidades de trabajo de una empresa.
Objetivos de la auditoría de sistemas
La evaluación a los sistemas computacionales, a la administración del centro de cómputo, al desarrollo de proyectos informáticos, a la seguridad de los sistemas computacionales y a todo lo relacionado con
•Realizar una evaluación con personal multidisciplinario capacitado en el área de sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestión administrativa del área de informática.

• Hacer una evaluación sobre el uso de los recursos financieros en las áreas del centro de información, así como del aprovechamiento del sistema computacional, sus equipos periféricos e instalaciones.
• Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos, las instalaciones y mobiliario del centro de cómputo, así como el uso de sus recursos técnicos y materiales para el procesamiento de información.
• Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueterías de aplicación y desarrollo, así como el desarrollo e instalación de nuevos sistemas.
• Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y lineamientos que regulan las funciones y actividades de las áreas y de los sistemas de procesamiento de información, así cormo de su personal y de los usuarios del centro de información.
Normas generales de auditoría
La profesión de auditoría se rige, al menos en el aspecto contable y financiero, por normas y criterios aceptados generalmente, los cuales son emitidos por asociaciones de profesionales quienes aportan experiencia, conocimientos y actualizaciones en esto materia, a fin de que los practicantes de esta profesión y similares conozcan estas normas y las cumplan en el desarrollo de algún tipo de auditoria, según la profesión que practiquen.
En la actualidad existen muchas asociaciones de profesionales dedicados a la contabilidad y la ingeniería financiera. Debido a esto, en casi todos los países existe alguna asociación o colegio de contadores, los cuales tienen entre sus principales funciones regular la actuación profesional de sus agremiados. Entre estas regulaciones se encuentran las normas aplicables a la auditoria financiera y contable.

CAP. 3 NORMAS ETICO MORALES QUE REGULAN LA ACTUACIO DEL AUDITOR

Ética:
Son los fundamentos y las normas de conducta humana.

Moral:

Ciencia que enseña las reglas que deben seguirse para hacer el bien y evitar el mal.
Auditoria Informática:

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de informacion salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Principios y valores del auditor
Honestidad
Integridad
Cumplimiento
Lealtad
Imparcialidad
Búsqueda de la excelencia

Criterios y Responsabilidades del Auditor

Aspecto Ético-Moral
Respectar las normas, linimientos y políticas del a empresa.
Ética Profesional y Moral
Implementar los conocimientos obtenidos a favor de la empresa
El incumplimiento con las normas de la moral y la ética por parte del auditor le puede provocar consecuencias de tipo legal, sin embargo su principal sanción será de tipo profesional y moral ante sus colegas y ante la empresa ya que esto demuestra la incapacidad profesional del mismo.
Responsabiliza Profesional y Personal

Ø Tener la suficiente independencia mental y profesional para ejercer la profesión de auditor.
Ø Contar con la calificación, habilidad, aptitud y experiencia profesional en auditoria.
Ø Manejar adecuadamente las relaciones personales, profesionales y laborales entre el y el auditado.
Ø Utilizar la misma metodología y procedimientos de evaluación establecidos por los responsables de la gestión de la auditoria.
Ø No modificar, ocultar o destruir evidencias de la evaluación.
Ø Ser discreto profesional confiable con la informacion y los resultados obtenidos en la evaluación.
Ø Actuar con equidad, imparcialidad y razonamiento.
Ø Emitir dictámenes razonables
Criterios y Responsabilidades del Auditor
Ø Aplicar métodos, técnicas y procedimientos de evaluación bebidamente.
Ø Revisar sobre los puntos relevantes del área que será auditada.
Ø Elaborar los dictámenes conforme a las normas y linimientos que regulan el desarrollo de las auditorias.

Criterios y Responsabilidades del Auditor ante la Presentación de Resultados

El producto fundamental de una auditoria es la emisión de un informe o dictamen en el cual se presenten la opinión fundamentada del auditor respecto a la revisión que a realizada a los resultados obtenidos en un periodo dado de actividades.

Los resultados obtenidos las empresas los utilizan para mejorar sus servicios y para evaluar los resultados obtenidos en un periodo dado y para establecer las medidas necesarias respecto a las marcha de la empresa.

En la Presentación de los Resultados el Auditor debe de:

Ø Evitar prevenir los sobornos componendas y dadivas.
Ø Ser leal con sus auditados.
Ø Contar con una opinión profesional y defenderla.
Ø Emitir un dictamen con firma profesional.

CAP. 4 CONCEPTOS Y DEFINICION DE CONTROL INTERNO

El control interno es la adopción de una serie de medidas que se establecen en la empresa, con el propósito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y así ayudar a la administración y cumplimiento correcto de las actividades y operaciones de la empresa.


OBJETIVOS DEL CONTROL INTERNO

El control interno sirve para evaluar el desarrollo correcto de las actividades de las empresas, así como la aceptación y cumplimiento adecuados de las normas y políticas que regulan sus actividades; sus objetivos fundamentales son:

· Establecer la seguridad y protección de los activos de la empresa.

· Promover la confiabilidad, oportunidad y veracidad de los registros contables así como de la emisión de la información financiera de la empresa.

· Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y actividades de la empresa.

· Establecer y hacer cumplir las normas, políticas y procedimientos que regulan las actividades de la empresa.

· Implantar los métodos, técnicas y procedimientos que permitan desarrollar adecuadamente las actividades, tareas y funciones de la empresa.



IMPORTANCIA DEL CONTROL PARA LA AUDITORIA


Todas las empresas deben contar con instrumentos que les permitan llevar sus su administración con eficiencia y eficacia, para satisfacer sus expectativas en cuanto a la salvaguarda y custodia de sus bienes, a la promoción de la confiabilidad, oportunidad y veracidad de sus registros contables y la emisión de su información financiera, a la implantación correcta de los métodos, técnicas y procedimientos que les permitan desarrollar adecuadamente sus actividades.

La importancia de la auditoria se fundamenta en que por medio del control interno se determinan las actividades, acciones y demás elementos que permiten satisfacer las necesidades de las instituciones y demás elementos que permiten satisfacer las necesidades de las instituciones, la auditoria se desprende de la revisión de las funciones, acciones, operaciones o de cualquier actividad de una entidad administrativa.



ELEMENTOS DE CONTROL INTERNO

· Elementos de organización, elementos de procedimientos, elementos de personal, elementos de supervisión.

El auditor debe efectuar un estudio y evaluación adecuados del control interno existente, que le sirvan de base para determinar el grado de grado de de confianza que va a depositar en él, así mismo, que le permitan determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoria.

ESTANDARES DE CONTROL

Existen estándares y que se pueden utilizar en la medición del control y el control interno de las instituciones con el fin de ayudar a la eficiencia y eficacia en el desarrollo de las activides normales de la empresa.

· ESTANDARES FISICOS: Son aquellos que pueden ser apreciados mediante alguna medidas de dimensión de tipo tangible. (extensión, longitud, magnitud, tamaño, volumen, etc.). Estos a su vez pueden agruparse en estándares físicos de medición de comparación y de acumulación.

· ESTANDARES DE COSTOS: Son mediciones de tipo monetario que permiten hacer una estimación del costo (valor que se la da al trabajo) entre estos se destacan costos fijos y variable.

· ESTANDARES DE CAPITAL: Son estándares que se adoptan para el manejo y control de de los llamados bienes de capital, ya sea capital de trabajo, capital contable, capital financiero o de cualquier otro tipo de estándar que incide en el capital que se maneja en las empresas.

· ESTANDARES DE INGRESOS Y EGRESOS: Son los valores monetarios que se asignan a los ingresos (entradas) y egresos (salidas) como parte fundamental de sus actividades de trabajo.


· ESTANDARES NO TANGIBLES: Existen estándares que no necesariamente son tangibles ni numerables, los cuales, aunque no se puedan cuantificar pero si se deben tomar en cuenta, por lo general son representaciones que se dan a las cualidades de las cosas (Bueno, Malo, satisfactorio, bondadoso, adecuado, etc.).

· ESTANDARES DE CONTROL ESTADISTICOS: Permiten establecer, medir, evaluar, al amparo de razones matemáticas, estadísticas, y en algunos casos integrales y diferenciales.

· ESTANDARES DE AUDITORIA: son herramientas, métodos, técnicas y procedimientos de auditoria.

· NORMAS DE EVOLUCION: son normas que contribuyen al establecimiento de de los parámetros de evaluación que se requieren para el establecimiento del control interno necesario para realizar una auditoria.

- NORMAS CUANTITATIVAS: son aquellas que permiten dar una cuantía medible en cifras significativas, con las cuales se establecen parámetros validos para medir resultados.
- NORMAS CUALITATIVAS: estas normas se establecen de forma no tan objetiva, y sirven de parámetros cualitativos.
- NORMAS MATERIALES: estas se refieren a los criterios que permiten evaluar aspectos fundamentales en el desempeño de las actividades de una empresa. Estas a su vez se divide en dos grandes grupos: de desempeño y complementarias.


· OTRAS NORMAS Y ESTANDARES:
Existen muchos tipos de tipos de estándares que buscan utilizarse para evaluar el cumplimiento de lo alcanzado en relación con lo esperado.

- ESTANDARES DEL IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) desarrollado en los 80 para desarrollar estándares para la tecnología emergentes en diferentes áreas de la ingeniería.
- NORMAS DE LA SERIE ISO-9000: norma creada para la gestión y el aseguramiento de la calidad.
- ESTANDARES Y NORMAS DE CALIDAD: en este caso es donde se diseñan estándares y normas por medio de las cuales se busca apreciar los cumplimientos en cuanto a la calidad esperada en relación con la calidad realmente alcanzada.

CAP. 5 CONTROL INTERNO INFORMATICO

Definiciones
El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática - Aplicaciones en Producción - José Dagoberto Pinilla)
También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir
errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos:
• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.
• Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
Los controles según su finalidad se clasifican en:
• Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
• Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos.
• Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.
Objetivos principales:
• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas
• Colaborar y apoyar el trabajo de Auditoría Informática interna/externa
• Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informáticos.
• Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.
Control interno informático (función)
El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.
Entre sus funciones específicas están:
• Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores.
• Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos:
• Desarrollo y mantenimiento del software de aplicación.
• Explotación de servidores principales
• Software de Base
• Redes de Computación
• Seguridad Informática
• Licencias de software
• Relaciones contractuales con terceros
• Cultura de riesgo informático en la organización
Control interno informático (áreas de aplicación)
controles generales organizativos
Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación:
• Plan Estratégico de Información realizado por el Comité de Informática.
• Plan Informático, realizado por el Departamento de Informática.
• Plan General de Seguridad (física y lógica).
• Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de información
Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.
Controles de explotación de sistemas de información
Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de, instalación y ejecución del software.
Controles en aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos de los datos.
Controles en sistemas de gestión de base de datos
Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad.
Controles informáticos sobre redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidos.
Controles sobre computadores y redes de área local
Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan.

CAP. 6: METODOLOGÍA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES

auditoria de información, sin embargo podemos desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizarlas:
Inventario físico. Es el proceso de identificación y categorización de los recursos de información de una forma sistemática. De esta forma, se proporciona una fotografía de lo que la organización posee en términos de recursos de información en un momento determinado.
Masificación de la información (Infomap). Constituye una forma gráfica de representar los recursos de información que hay en la organización y las interrelaciones entre éstos. El mapa de recursos indica hasta qué punto los recursos de información son básicos, de qué modo se encuentran posicionados (geográficamente, departamentalmente, desde un punto de vista técnico), cómo interactúan, quién los utiliza, quién es el responsable, etc.
Análisis de las necesidades de información. Tiene como finalidad principal determinar qué información requieren los empleados y la dirección de la organización para desarrollar sus papeles y alcanzar los objetivos.
Gráficos de procesos y flujos de trabajo. Los gráficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el ámbito de las auditorias de la información.
Procesos de control y verificación. En una auditoria de la información, se deben establecer también los procesos de control y verificación.
El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de información, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditoria de información.
En el caso del mapa documental, éste detalla qué documentos se encuentran dentro de la organización, a qué tipo de funciones se encuentran vinculados y dan respuesta, quién tiene la responsabilidad y el acceso a esos documentos, en qué soporte están disponibles, dónde y cómo se encuentran accesibles y qué relación o nivel de integración tienen con el resto de los sistemas de información de la organización. También se establece la localización de todos los documentos dentro de los estándares y los procedimientos de la organización, así como su valor para el conocimiento corporativo

Planteamiento Del Problema

El avance de la informática, los sistemas, las telecomunicaciones, y otras aplicaciones de tecnología, han permitido a la sociedad moderna a través de entes públicos y privados desarrollarse rápidamente, en todos los ámbitos y sentidos, en especial hará énfasis en el desarrollo de los negocios, el cual esta íntimamente relacionado con la tecnología de información, y a su permitido la evolución en la forma de llevar los procesos.Dicha tecnología, ha permitido que los sistemas informáticos estén sometidos al control correspondiente. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos.

La auditoria de sistemas, permite mostrar las debilidades y las fortalezas de esta empresa, con respecto a los controles que se estén empleando, a los sistemas y procedimientos de la informática, los equipos de cómputo que se emplean, su utilización, eficiencia y seguridad. Para ello se realiza una inspección pormenorizada de los sistemas de información, desde sus entradas, procedimientos, comunicación, controles, archivos, seguridad, personal y obtención de la información, cabe recalcar que, la auditoria inicia su actividad cuando los sistemas están operativos y el principal objetivo es el de mantener tal como esta la situación para comenzar el levantamiento de información. Posteriormente la auditoria generara un informe, para que las debilidades que son detectadas, sean corregidas y se establecen nuevos métodos de prevención con el fin de mejorar los procesos, aumentar la confiabilidad en los sistemas y reducir los riesgos.
La organización como segunda fase del proceso administrativo puede definirse como la agrupación de las actividades necesarias para llevar a cabo los planes asignando la autoridad y responsabilidad a quienes tienen a su cargo la ejecución de dichas actividades. La organización define las relaciones que logran la cohesión entre los esfuerzos tendientes al logro de los objetivos.
De la definición anterior derivaremos algunos puntos que el auditor administrativo debe comprender al llevar a cabo se revisión esto es en toda estructura organiza debe identificar:
Definición de las funciones y actividades necesarias para el Integración de ese fiel cumplimiento de los propósitos de la empresa. Funciones y actividades en divisiones o departamentos con fisonomía e Jerarquización de autoridad deNimportancias propias pero coordinadas entre si. Manera que los grupos o individuos separados por la división del trabajo actúen Definición de cada puesto considerado como la unidadNcoordinadamente. Especifica menor que presente el orden mínimo dentro de un grupo de tareas que deben ser desempeñadas por una sola personas.
La auditoria es una de las aplicaciones de los principios científicos de la contabilidad, basada en la verificación de los registros patrimoniales de las haciendas, para observar su exactitud; no obstante, este no es su único objetivo.
El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades. Para ello la Auditoria les proporciona análisis, evaluaciones, recomendaciones, asesoría e información concerniente a las actividades revisadas. Los miembros de la organización a quien Auditoria apoya, incluye a Directorio y las Gerencias. Auditor: Es aquella persona profesional, que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupación técnica. Las funciones tipo del auditor son: Diagnosticar sobre los métodos de operación y los sistemas de información. Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo. Respetar las normas de actuación dictadas por los grupos de filiación, corporativos, sectoriales e instancias normativas y, en su caso, globalizadoras. Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y Desarrollar el programa de trabajo de una auditoria. NProgramas de trabajo. Proponer los sistemas administrativos y/o las modificaciones que permitan elevar Definir los objetivos, alcance y metodología la efectividad de la organización Captar la información necesaria para evaluar para instrumentar una auditoria. La funcionalidad y efectividad de los procesos, funciones y sistemas utilizados. Mantener el nivel de actuación a través de una interacción y revisión continua Proponer los elementos de tecnología de punta requeridos paraNde avances. Recabar y revisar estadísticas sobre impulsar el cambio organizacional. Evaluar los registros contables e información volúmenes y cargas de trabajo. Analizar la estructura y funcionamiento de la organización en financiera. ConsiderarN Revisar el flujo de datos y formas. Todos sus ámbitos y niveles las variables ambientales y económicas que inciden en el funcionamiento de la Analizar la distribución del espacio y el empleo de equipos deNorganización. Diseñar y preparar los reportes de avance e informes de unaNoficina.

CAP. 7_ PAPELES DE TRABAJO PARA LA AUDITORÍA DE SISTEMAS COMPUTACIONES

A lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuación con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como la interpretación dada en cada caso a los hechos, con las conclusiones obtenidas.
Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión no autorizada, acarrearía responsabilidad para el auditor.
Estructura de contenidos.
Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.
Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor.
Han de ser detallados y completos los papales de trabajo y deben estar diseñados para presentar la información requerida de forma clara y plena de significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad.
En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes: - Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo.

- Presentar informes a las partes interesadas.
- Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente.
- Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por persona distinta de la que la inició.
- Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal.
Tipos de papeles de trabajo.
En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos:
a) Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos
b) Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar.
c) Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones,…
Sistemas de archivo.
Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro.
Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente.
El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia se limita al período de realización de la auditoría.
a) Archivo general
Agrupa toda información referente a la organización de la auditoría, al mismo tiempo recogerá la documentación en la que se han ido reflejando los principales problemas que se han planteado en la ejecución de la auditoría y las conclusiones a las que a ha ido llegando el auditor. De esta forma, podríamos destacar como apartados importantes de la sección general del expediente del ejercicio:
- Estados financieros a auditar
- Proceso de planificación y programas de auditoría
- Informe sobre el sistema de control interno contable
- Indicación de quién realizó los procedimientos de auditoría y cuándo fueron realizados
- Constancia de que el trabajo realizado por colaboradores ha sido supervisado y revisado
- Puntos de informe
- Correspondencia con el cliente y resumen de las conversaciones mantenidas
- Hechos posteriores
- Terminación de la auditoría
b) Archivo por áreas de trabajo

CAPITULO 8: INFORMES DE AUDITORIA

Objetivos

Destacar la importancia que tiene el saber presentar profesionalmente los informes de auditoria computacionales.El auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito por es como dar un sello personal.Procedimientos para elaborar el informe.En el informe de auditoria, también llamado dictamen, se reportan las situaciones encontrada durante la evaluación, pero se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados.Los procedimientos para elaborar dicho informe se compone de los siguientes pasos.

1. Aplicar instrumentos de recopilación
2. Registrar el formato de situaciones encontrada.
3. Comentar las situaciones encontrada con los auditados.
4. Analizar, depurar y corregir las desviaciones encontradas.
5. Presentar informe y dictamen final a los directivos de la empresa.
6. Comentar las situaciones encontrada con los auditados.

Una vez identificada las siguientes situaciones encontrada, es responsabilidad del encargado de la auditoria comente cada una de esas desviaciones con el personal responsable de la operación o sistema de o función auditada. Además, comentarla comentarlo con los auditado esto permite preparar las posibles soluciones para esas desviaciones.Nota: la auditoria no es una cacería de brujas para cortar las cabezas de los auditados, es una revisión para encontrar posibles desviaciones en su actividad cotidiana y es deber del auditor comentarlas con ellos para resolverlas de común acuerdo.

Encontrar causas de las desviaciones con los auditadosTambién se recomienda encontrar de manera más fidedigna y confiable las causas que generan cada una de las desviaciones, a fin de reportarla en el informe lo mas apegado posible a la realidad.Es necesario tener pendiente que al conocer las desviaciones que se le imputan, el auditado tratara de defenderse, señalando las causa que generaron cada una de las desviaciones encontradas, así directamente al escuchar la voz del auditado el auditor puede comprobar o ratificar las causas que había planteado.No obstante, como es natural, en las reuniones muchos de los auditados trataran de evadir o justificar su responsabilidad en las desviaciones e incluso, en algunos casos extremos, pueden hasta negar la existencia o conocimiento de la situación que se le imputa.

Elaboración del informe final y el dictamen del auditorEn es informe el auditor solo debe lo más relevante de la evaluación, incluyendo su opinión. En este informe es que denota la importancia de su actividad al señalar en que situación estaba la empresa o departamento antes de la evaluación por los auditores.El informe es algo practico y corto, cabe aclarar que la razón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del el lenguaje que se maneja en los sistema computacionalesCaracterísticas fundamentales.Se pueden identificar dos características fundamentales en los informes de auditoria en los sistemas computacionales los cuales siempre se refieren al contenido del informe y la forma de presentarlo. Dichas características son la siguiente: Características de fondo.Se refiere al cuidado que debe tener el auditor de sistema al revisar que el contenido total del dictamen de auditoria sea acorde con lo que realmente tiene que señalar acerca de la revisión afectada, refiriéndose exclusivamente al contenido del informe. Para esto tiene que tender en cuenta diversos aspectos los como que el documento sea veraz, confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda entender con facilidad dicho informe. Características de formaEstas características se refieren a la manera en que el auditor debe presentar el informe en cuanto al estilo de redacción, el contenido en partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo en la forma de utilizar la redacción, ortografía, sintaxis, gramática y demás componentes del lenguaje y todo lo relacionado con la presentación del documento.

CARACTERISTICAS DE LA PRESENTACION DEL INFORME. Otras de las características mas importantes de un informe de auditoria de sistemas computacionales son los atributos que deben tener la redacción y la presentación del informe; para lograr mejores resultados en la elaboración del citado informe, el auditor debe tomar en cuenta las características que proponemos a continuación: Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis, Concisión, Sencillez, Asertividad, Exactitud, Familiaridad y Veracidad.

CAP. 9: INSTRUMENTOS DE RECOPILACION DE INFORMACION EN AUDITORIA

Objetivo

Identificar los principales instrumentos técnicas, herramientas y métodos utilizados en la recopilación de informacion:Las cuales detallaremos a continuación:

Entrevista
Cuestionarios
Encuestas
Observación
Inventarios
Muestreo
Experimentación

Al utilizar estas herramientas, métodos y procedimientos en auditoria de sistemas, lo que se hace es utilizar lo mejor de ellas para adecuarlas a las necesidades específicas de evaluación requerida.

Entrevista

Es la principal actividad de un auditor sin importar el tipo de auditoria que se realice, es la recopilación de conformación sobre el aspecto que va auditar, pues concentra y tabular esa conformación en cuadros Y estadísticas analiza sus resultados y emite un juicio sobre lo que evaluó.Una entrevista consta de inicio, apertura, cima y cierre.

Los tipos de entrevistas pueden ser;
Libres
Dirigidas
De exploración
De comprobación
De informacion
Informales

Las preguntas para una entrevista Pueden ser:
Abiertas: donde el entrevistado tiene libertad absoluta para responder.
Cerradas: su objetivo es centrar las respuestas donde el auditor quiera llegar sin salirse del tema.
De sondeo: se utiliza para determinar el grado de cooperación y colaboración.
De Cierre: se hacen para terminar con el interrogatorio.
Mixta: es la combinación de dos o más de las preguntas anteriores.

Cuestionarios:
Es la recopilación de datos mediante preguntas impresas en la que el encuestado responde mediante su criterio. Que luego el auditor convierte en informacion valiosa para realizar su trabajo.

Ventajas:Facilitan la recopilación de informacion y no necesitan muchas explicacionesPermiten la rápida fabulación e interpretación.Evitan la dispersión de la informacion requerida.Son fáciles de aplicar y ayudan a recopilar mucha informacion en poco tiempo.Hacen impersonal la respuestas por lo tanto en una auditoria ayuda a recopilar informacion valiosa.Desventajas:Falta de profundidad en las respuestas y no puede ir más allá del cuestionario.Se necesita una buena elección del universo y la muestra seleccionadaPuede provocar la obtención de datos equivocados.La interpretación de anales de los datos puede ser muy simple si el cuestionario no está bien estructurado.Limita la participación del auditado.

Encuesta:Las encuestas constituyen una de las técnicas mas populares y de mayor uso en la auditoria.

ObservaciónEs la acción de observar y mirar detenidamente, esta técnica es muy utilizada por los auditores ya que les permite recolectar directamente la informacion necesaria.
La acción de observar es el hecho de examinar, analizar, advertir, o estudiar algo en este caso el auditor observa todo lo relacionado con los sistemas de una empresa.

Inventario
Esta forma de recopilación de informacion consiste en hacer un recuento físico de lo que se esta auditando a fin de saber la cantidad existente de algún producto en una fecha determinada y comprarla con la que debía haber según los documentos en esa misma fecha.Consiste en comprar las cantidades reales existentes con las que beberían haber para ver si son iguales o no.

Muestreo
Para emitir una opinión fundamentada sobre los funcionamientos de las operaciones un auditor debe tener informacion segura pero se le hace imposible e inoperante revisar todas las transacciones, razón por la cual debe tomar una muestra representativa de cada una de las labores de la población auditada.El cual consiste en una muestra representativa del total de la población.

Experimentación Es una de las técnicas que mas ayudan al auditor a recopilar informacion la experimentación es quien lleva a cabo la auditoria puede participar activamente o no en la observación de fenómenos.Entre los tipos de experimentos que daremos a conocer están: Experimentos exploratorios
Experimento confirmatorios
Experimento cruciales

Si el auditor lleva a cabo cada uno de estos métodos detalladamente y en orden podrá obtener buenas informaciones que les servirán para la presentación de resultados y la toma de decisiones.

CAP. 10: TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS COMPUTACIONALES

En la auditoria de sistemas computacionales se utilizan una serie de herramientas tradicionales de auditoria, así como técnicas de valoración que permite hacer una evaluación más eficiente de los sistemas computacionales.Como profesional especializado en la rama, el auditor de sistemas computacionales utilizas estas técnicas pues le ayudan a examinar y evaluar correctamente los diferentes aspectos del ambiente de sistemas en el que realiza su trabajo.Estas técnicas, métodos, procedimientos o herramientas son:EXAMEN Consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente en una empresa, es utilizado para evaluar los registros, planes, presupuestos, programas, controles y todo lo demás aspectos que afectan la administración y control de una empresa o de las áreas que la integran.En la auditoria de sistemas computacionales podemos entender el examen como: El análisis, prueba o demostración al que se somete algún fenómeno o hecho relacionado con la gestión administrativa de un centro de cómputo, de sus componentes o de la operación del sistema procesados de información, con el propósito de evaluar el cumplimiento de sus funciones, actividades y operaciones, así como el cumplimiento del procesamiento de datos y la emisión de información que se requiere en la empresa o en las áreas que la integren.INSPECCION (Acción o efecto de inspeccionar) La inspección en sistemas computacionales es Sinónimo de supervisión, ya que trata de examinar la forma en que se desarrollan las actividades de un área de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones; también tiene como propósito monitorear el desarrollo cotidiano de las funciones, actividades y operaciones normales de las empresa, para evaluar y si es necesario, corregir su desarrollo beneficio.Esta herramienta es aplicada de acuerdo con las características específicas de cada centro de cómputo o de cada sistema computacional, un ejemplo de los posibles aspectos del ambiente de sistemas computacionales donde puede ser aplicada es: La inspección de los sistemas de seguridad y protección de las instalaciones, equipo, personal y de los propios sistemas de procesamiento, con el propósito de dictaminar sobre su eficiencia y confiabilidad.CONFIRMACION: (Nueva prueba o seguridad de una cosa para corroborar la verdad) Es uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión; ya que el resultado final de una auditoria es la emisión de un dictamen en el que el auditor vierte sus opiniones, la característica fundamental de una auditoria, cualquiera que sea su tipo, es la autenticidad con la que el auditor emite sus opiniones, sean a favor o en contra. En los sistemas computacionales su fin es confirmar la oportunidad, veracidad de los gastos de nomina del personal de la empresa , comparando los resultados de una quincena con los cálculos manuales de esa misma quincena, validar las desviaciones encontradas en los procesamientos, revisar las licencias de software instalados en los sistemas computacionales y confirmar la confiabilidad de las protecciones , contraseñas y demás medidas de seguridad establecidas para el acceso a la información y a los sistemas de la empresa. COMPARACION: (Determinar las semejanzas o diferencias que hay entre dos o mas elementos) Esta debe ser aplicada de acuerdo a las necesidades y características especificas del área de sistemas o del propio sistemas que va a se auditado.Con la comparación de información se pueden encontrar las similitudes y diferencias entre ambas áreas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas. En la auditoria de sistemas computacionales, la comparación de los datos en el sistemas computacionales que va a ser elevado con los datos de algún sistemas similar o igual para avalar y comprobar que los procesamientos sean similares o iguales y que los resultados sean confiables, verídicos, oportunos y que satisfagan las necesidades de procesamiento del área de cómputo de la empresa.REVISION DOCUMENTAL : Es la forma mas importante de evaluar a las empresas; además no solo sirve para aplicaciones en una auditoria tradicional, sino también como un importante apoyo en los diferentes tipo de auditoria de sistemas computacionales; claro esta adoptándola a las características especificas de evaluación de los sistemas computacionales.La revisión documental avala los registros de operaciones y actividades de una empresa, principalmente en aquellos casos donde la evaluación esta enfocada a los aspectos financieros, registros de los activos y a cualquier otro aspecto contable y administrativo de la empresa. Esta técnica se aplica verificando el registro correcto de datos en documentos formales de la empresa, con mucha frecuencia la emisión de sus resultados financieros.En los sistemas computacionales es utilizada para evaluar el desarrollo de las operaciones y funcionamiento del sistema, revisar el uso y registro adecuado de los documentos del software, verificar la existencia y actualización de registros formales para la administración y control de operación del sistema.ACTA TESTIMONIAL: Es un documento de carácter formal, que por su representatividad, importancia y posibles alcances de carácter legal y jurídico es uno de los documentos vitales. La importancia de este radica en que con su uso se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para comprobar desviaciones en el área auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto relacionado con la desaparición de algún bien de la empresa, para fincar responsabilidades por deficiencia en las actividades de la empresa; auque puede ser levantada en cualquier otra incidencia de las actividades cotidiana de una empresa. MATRIZ DE EVALUACION : Es uno de los documentos de recopilación mas versátiles y de mayor utilidad para el auditor de sistemas computacionales, debido a que a través de esta es posible recopilar una gran cantidad de información relacionada con las actividades realizadas en esta área de informática, esta herramienta consiste en una matriz de seis columnas de las cuales la primera corresponde a la descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente).MATRIZ DOFA: es un acrónimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por separado en cuanto a su presencia interna y a la influencia que la empresa recibe del exterior. El fundamento para la aplicación de la matriz DOFA en una auditoria de sistemas computacionales, es que mediante la misma se pueden estudiar las influencias que afectan el comportamiento del área de sistemas computacionales de una empresa, tanto las quien recibe de su ambiente interior como exterior, ya sean de la propia empresa o de sus proveedores, desarrolladores o del entrono donde este establecida.

CAP. 11: TECNICAS ESPECIALES DE AUDITORIA DE SISTEMAS COMPUTACIONALES

Diagramas del círculo de evaluación.Herramienta de apoyo para la evaluación de los sistemas computacionales. Para valorar visualmente: El comportamiento de los sistemas que están siendo auditados. Su cumplimiento Sus limitaciones. Durante las diferentes etapas: Estudio Preliminar, Análisis del Sistema, Diseño Conceptual, Diseño Detallado, Programación, Pruebas, Implantación.Diagramas del círculo de evaluación.¿Que Podemos Evaluar Con Esta Herramienta?Seguridad en el área de sistemas computacionales. Evaluación administrativa del área de sistemas. Evaluación de los sistemas computacionalesSeguridad en el área de sistemas computacionales: Acceso físico al área de sistemas. Acceso, uso, mantenimiento y resguardo de las bases de datos. Del personal informatico. De las instalaciones del área de sistemas. Plan de contingencias. Seguridad lógica del sistema.Evaluación administrativa del área de sistemas De la misión, visión, objetivos, estrategias, planes, programas, estructura de la organización, perfil de puestos. Evaluación de la documentación de sistemas, de la seguridad y la protección de los archivos informaticos, instalaciones. Evaluación de la capacitación, adiestramiento y promoción del personal. Evaluación del desarrollo de proyectos informaticos, estandarización de metodologías, programas, equipos, sistemas, mobiliario.Lista de verificación (o lista de chequeo).Instrumento que contiene criterios o indicadores a partir de los cuales se miden y evalúan las características del objeto, comprobando si cumple con los atributos establecidos. La lista de verificación se utiliza básicamente en la práctica de la investigación que forma parte del proceso de evaluación.Análisis de la diagramación de sistemas.Análisis de la diagramación de sistemas.Unas de las principales herramientas para el análisis y diseño de los sistemas computacionales. El analista puede representar: Los flujos de información., actividades, operaciones ,procesos y otros aspectos que intervienen en el desarrollo de los propios sistemas El programador puede visualizar el panorama especifico del sistema, para elaborar de manera mas precisa la codificación de instrucciones para el programa.Análisis de la diagramación de sistemas.El auditor puede utilizar esta herramienta para el diseño de sistemas de diferentes formas en una auditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades, mismas que debe canalizar en los siguientes sentidos: Solicitar los diagramas del sistema. Analizar el diagrama del sistema. Elaborar un diagrama del sistema. Verificar la documentación de los sistemas a través de sus diagramas.

CAP. 12 PROPUESTA DE PUNTOS QUE SE DEBEN EVALUAR EN UNA AUDITORÍA DE SISTEMAS COMPUTACIONALES

En el desarrollo de sistemas se debe emplear la misma metodología que utilizan los
diseñadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivo
primario del auditor es evaluar la suficiencia de los controles internos, el objetivo
del diseñador de sistemas es satisfacer las necesidades de los usuarios; ambos deberían
compartir el deseo de ver que se logran los objetivos de cada uno.


PARTICIPACION DEL AUDITOR

Aún cuando el auditor esté interesado en todos los aspectos del nuevo sistema, debe
velar porque se establezcan todos los controles de aplicación. Su principal función
es asegurar que los sistemas, recientemente implantados incluyan características
de control sólidas y confiables. En términos generales es ayudar a prevenir que
se implanten sistemas de aplicación que tengan riesgos importantes.

El auditor participa en el proceso de desarrollo de sistemas revisando la documentación
generada como producto final de ciertas actividades de desarrollo de sistemas.
En estas actividades su interés se concentrará primordialmente en el desarrollo
e implantación de controles de aplicación adecuados.

El auditor necesita reconocer que su participación durante el desarrollo de los
sistemas puede amenazar su independencia y deberá tomar medidas para evitar esta
pérdida. Estas medidas incluyen:
* Permanecer organizacionalmente independiente del grupo de sistema. Esto significa
que el auditor no es un miembro en propiedad del grupo de desarrollo de sistema
y no le quita la dirección del proyecto al gerente del grupo del proyecto.
* Redactar los informes independientemente del grupo del proyecto. Las opiniones
del auditor, sus recomendaciones y sus evaluaciones no deberían incluirse en los
informes de status del proyecto puesto que el emisor de los informes (usualmente
el gerente del grupo del proyecto) tiene autoridad editorial para modificar las
declaraciones del auditor.
* Investigar independientemente del grupo del proyecto. El grupo del proyecto puede
estar restringido a ciertos contactos y cierta autoridad, pero el auditor tiene
libre acceso a la información y al personal de la organización.


PROGRAMA DE TRABAJO

1. Establecer el planeamiento preliminar del trabajo de auditoría: En este primer
paso se obtiene un conocimiento inicial de las actividades del sistema y evaluarlas
en relación con los objetivos de auditoría, a fin de determinar el alcance preliminar.


2. Participación del Auditor en el Desarrollo de Sistemas: Determinar el grado de participación del auditor en cada fase del ciclo de vida del sistema, una vez
que ha sido identificado. Los auditores de sistema necesitan participar en el proceso
de desarrollo de los sistemas para garantizar que los nuevos sistemas de información
diseñen las medidas adecuadas de auditoría y de control. Los dos tipos de autorización
donde se involucra el auditor son: El auditor debe tener un grado de participación
mediante un acuerdo y revisión de las fases.


Acuerdo: Es el acuerdo formal con el contenido del producto tangible. En caso de
desacuerdo, la persona responsable de evaluar el producto tangible prepara un memorando
indicando su posición y los items que requieren solución y lo envía o remite al
siguiente nivel superior gerencial.
Revisión: Los productos tangibles son presentados para información solamente; pueden
hacerse comentarios pero ellos no son decisivos.


3. Revisión de Productos Finales: Acordar y revisar las actividades y el producto
final de cada fase del ciclo de vida del desarrollo del sistema. El auditor debe
revisar que las firmas de aprobación para todos los productos tangibles están plasmadas
en el control de aceptación de etapas. Así mismo el auditor debe preparar los papeles
de trabajo con el propósito de evidenciar y documentar los resultados de la investigación
del proyecto y que sirvan como material de referencia para esfuerzos futuros.


4. Identificar las fuentes de información para las revisiones y/o pruebas de auditoría:
Este paso incluye la identificación de las fuentes de información que se requieren
en los procesos de prueba y revisión. Las fuentes de información proveen los medios
para la revisión y documentación de las actividades de auditoría y verificación
de controles.